- Os valores para quem encontrar bugs no navegador do Google podem chegar a US$ 30 mil e a US$ 150 mil para falhas no Chromebook;
- Mais de 8.000 bugs já foram descobertos nos últimos anos do Chrome Vulnerability Rewards Program, o que resultou um total de US$ 5 milhões em recompensas;
- Erros encontrados no Google Play podem render até US$ 20 mil em premiação.
Pode ser surpreendente saber que o Google paga às pessoas para que elas quebrem e invadam seus sistemas desde 2010. De fato, a empresa pagou mais de US$ 5 milhões durante esses nove anos a pessoas que fizeram exatamente isso. Agora, anunciou que aumentou as recompensas, com um pagamento individual máximo de US$ 150 mil e outros pagamentos duplicando ou triplicando de tamanho. Tudo o que você precisa fazer é encontrar as falhas de segurança no código do Google.
LEIA MAIS: Google e Facebook monitoram a atividade de usuários em sites pornográficos
Em uma postagem no blog de segurança do Google, Natasha Pabrai e Andrew Whalley, da equipe de segurança do Chrome, disseram que estavam felizes em anunciar um aumento geral nos valores de recompensa. Os destaques vão para a duplicação da recompensa máxima dos “relatórios de qualidade” (de US$ 15 mil para US$ 30 mil) e triplicar o valor da recompensa inicial para US$ 15 mil por um relatório de linha de base.
Para ser considerado um relatório de alta qualidade pelo Google, é preciso que ele tenha: um caso de teste minimizado, uma análise que pode ajudar a determinar a causa da falha, um patch de correção sugerido e uma demonstração para apontar um erro com potencial para acontecer. Relatórios de linha de base, entretanto, são aqueles com apenas um caso de teste minimizado, sem estabelecer que o problema é explorável.
Fuzzers, apps e a recompensa de US$ 150 mil
O Google também dobrou a recompensa para US$ 1 mil por bugs encontrados por “fuzzers” rodando sob o Chrome Fuzzer Program. Um fuzzer é um software que automatiza o processo de inserção de dados inválidos ou aleatórios para fazer com que o software de destino colapse ou vaze a memória de maneira que possa ser explorada por um invasor. O Google executa esses fuzzers em milhares de núcleos, e quem encontra os bugs é recompensado na hora.
O Google também aumentou os pagamentos disponíveis para os pesquisadores inscritos no Programa de Recompensa de Segurança do Google Play, oferecidos em colaboração com a HackerOne, uma plataforma de segurança de hackers. Este programa é para encontrar vulnerabilidades em aplicativos Android populares, disponíveis na Google Play. A recompensa máxima agora é de US$ 20 mil.
Os pagamentos de bugs do Google são justos?
“A recompensa para os participantes que podem comprometer um Chromebook ou um Chromebox é uma das recompensas mais altas do mercado atualmente”, diz Laurie Mercer, engenheira de segurança da HackerOne. Enviar um bug qualificado para essa recompensa “garantiria um lugar no prestigioso Google Hall of Fame”, acrescenta Mercer, que também é conhecida como a infame “0x0A List”.
Mas as recompensas do Google realmente são grandes o suficiente? Comparando com a Zerodium, uma empresa de segurança digital que se promove como a que paga melhor a pesquisadores que descobrem falhas antes das próprias companhia, sim. A empresa analisa, agrega e documenta esses dados antes de adicioná-los a uma lista de pesquisa e falhas descobertas pela Zerodium, que fornece inteligência de segurança para clientes institucionais. A empresa parece estar à altura dessa promessa, com uma recompensa de US$ 500 mil oferecida por uma combinação remota de execução de código e escalonamento de privilégio local contra o Chrome, por exemplo.
O pesquisador de segurança de aplicativos Sean Wright conclui: “Se você quer o dinheiro, vai vender para a Zerodium. Se quiser ser ético, você vai informar o Google. A menos que o Google corresponda às somas pagas pelo Zerodium, é improvável que isso mude”.
Baixe o app de Forbes Brasil na Play Store e na App Store